Was passiert, wenn Unternehmen die NIS2-Anforderungen ignorieren?
Ähnlich wie bei der DSGVO verleiht der Gesetzgeber seinen Anforderungen Nachdruck, indem er bei Verstößen hohe Bußgelder verhängt. Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximalstrafen von mindestens sieben oder zehn Millionen Euro, je nach Sektor. Um die Einhaltung der NIS2-Anforderungen zu überprüfen, kann das BSI-Audits durchführen oder bei Dritten beauftragen. Werden Defizite aufgedeckt, erhalten betroffene Unternehmen eine Frist, innerhalb der sie nachbessern müssen. Nicht zuletzt haften Geschäftsführer persönlich, wenn sich bei der forensischen Untersuchung eines Cybervorfalls herausstellt, dass das Unternehmen Security-Vorgaben missachtet hat.
NIS2 als Chance
Wer bisher schon dem KRITIS-Bereich zugeordnet war, hat vermutlich vieles, was NIS2 fordert, bereits umgesetzt. Für Unternehmen, die neu dazukommen, fällt der Aufwand höher aus. Daher empfiehlt es sich, möglichst bald zu starten. Auch wenn NIS2 zunächst einmal Arbeit verursacht, lohnt sich die Investition. Denn die Cybersicherheit zu erhöhen, ist angesichts der wachsenden Bedrohungslage unverzichtbar. In der Praxis haben es Security-Verantwortliche oft schwer, Budget für Security-Maßnahmen freizuschlagen. Daher braucht es den Druck durch gesetzliche Vorgaben. NIS2 hängt das Thema Cybersecurity jetzt ganz oben auf Geschäftsleitungsebene auf und macht dadurch die Bahn frei für Veränderung. Security-Verantwortliche dürften es künftig also leichter haben, CEOs davon zu überzeugen, stärker in Cybersicherheit zu investieren. Um möglichst schnell und effizient zur NIS2-Compliance zu gelangen, empfiehlt sich die Zusammenarbeit mit einem erfahrenen Managed Security Services Provider. Er kann helfen, die Security-Strategie zu überprüfen, ein ISMS aufzubauen, geeignete Security-Technik auszuwählen und zu betreiben.
